News

Kaspersky scopre lo spyware della CIA “non rilevabile” che dilaga dal 2014

L’azienda di sicurezza russa Kaspersky annuncia nel suo ultimo rapporto APT Trends per il primo trimestre del 2021 la scoperta di nuovo malware attribuito alla CIA . Chiamato internamente “Purple Lambert”, lo spyware faceva parte di una raccolta di campioni ricevuti da varie società di antivirus nel febbraio 2019. Inizialmente era passato completamente inosservato dai ricercatori di Kaspersky , ma i suoi team hanno recentemente notato somiglianze tra il codice del malware e quello di altri spyware prodotti dalla CIA .

Quattro anni fa, abbiamo appreso attraverso una fuga di notizie su Wikileaks dell’esistenza del programma Vault7 della CIA . Si tratta di una serie di misure adottate dall’agenzia per spiare smartphone e computer su vasta scala, inclusa una serie di malware specializzati. Con la scoperta delle prime backdoor della CIA, Kaspersky iniziò a fare riferimento a “malware della famiglia Lambert” per riferirsi a questi programmi. Da allora, il termine è rimasto: non appena Kaspersky scopre che il malware è attribuito alla CIA, riceve un nome composto da un colore + la parola Lambert.

KASPERSKY SCOPRE UN NUOVO MALWARE DELLA CIA INATTIVO

Secondo i suoi metadati Purple Lambert è stato compilato nel 2014 . Kaspersky ritiene quindi di non essere stato rilevato dagli antivirus almeno dal 2015 e forse anche dal 2014 . Il malware sembra essere progettato specificamente per non destare sospetti. I comandi del malware vengono ascoltati passivamente e si basano su “pacchetti magici” piuttosto banali. Sono dello stesso tipo dei pacchetti WoL per riattivare i computer su una rete dalla sospensione allo stesso tempo, con un piccolo comando in Cmd.

Kaspersky spiega:  “Purple Lambert è composto da diversi moduli, incluso un modulo di rete che attende passivamente di ricevere un pacchetto magico. È in grado di trasmettere informazioni di base sul sistema infetto a un utente malintenzionato e può eseguire i payload che riceve. Queste caratteristiche ci ricordano Gray Lambert, un altro tipo di programma controllato passivamente. Gray Lambert si è rivelato essere un sostituto di […] White Lambert coinvolto in più incidenti. Inoltre, Purple Lambert ha funzionalità simili sebbene implementate in altri modi a Gray Lambert e White Lambert ”.

La scoperta di questo nuovo malware è di per sé un piccolo evento . Dagli scandali svelati da Wikileaks, le scoperte di malware attribuite alle agenzie di intelligence americane sono state rare. Non che lo sviluppo di questo tipo di programma si sia fermato: il malware prodotto dalle agenzie di intelligence statunitensi sembra invece optare per una maggiore sofisticazione, in modo da non innescare allarmi . Così da Vault7 sono stati scoperti solo 3 malware attribuiti alle agenzie di intelligence americane.

In particolare, nel marzo 2018 è stato scoperto un malware che prendeva di mira i router Internet , che sembrava colpire principalmente i teatri di operazioni che combattono lo Stato islamico in Medio Oriente. Nel 2019 ESET ha scoperto anche un altro malware della stessa famiglia. Più di recente, nel marzo 2020, Qihoo 360 ha rivelato nuovo malware, rivelando al contempo come l’intelligence statunitense abbia preso di mira l’industria dell’aviazione civile cinese per 11 anni. A questo punto non è chiaro quali siano le implicazioni di questo annuncio. Kaspersky non conferma, ad esempio, nel suo comunicato stampa, se la prossima versione dell’antivirus sarà in grado di rilevare e rimuovere Purple Lambert .

Inoltre, il rapporto trimestrale di Kaspersky non è affatto dedicato a questa scoperta. L’azienda antivirus ritiene che le maggiori minacce nel primo trimestre del 2021 siano state piuttosto l’hacking di SolarWinds con la scoperta di numerosi difetti 0-day nei prodotti SolarWinds, vulnerabilità nei server Microsoft Exchange, attivamente sfruttati dagli hacker o persino dalla campagna di Lazarus gruppo di hacker che prende di mira i ricercatori sulla sicurezza hackerando i loro computer utilizzando violazioni del browser 0-day. Un attacco che sembra mirare a rubare informazioni sulle vulnerabilità della sicurezza sfruttabili.

Back to top button

Adblock Detected

Please consider supporting us by disabling your ad blocker